Validació judicial del marc de protecció de la privadesa de les dades UE-EUA: Entre l'estabilitat i l'erosió

1. Context i objecte del litigi

La sentència del Tribunal General de la Unió Europea (TJUE), de 3 de setembre de 2025, en el procés T-553/23, Latombe/Comissió, confirma la validesa del Marc UE-EUA sobre la Privadesa de les Dades (en endavant "MPD"), denegant la petició presentada per Philippe Latombe. L'objectiu principal d'aquesta petició era l'anul· lació de la Decisió d'Execució (UE) 2023/1795 de la Comissió, de 10 de juliol de 2023, que determina, d'acord amb el Reglament (UE) 2016/679 (RGPD), el nivell adequat de protecció de les dades personals assegurat pel MPPD.

2. Antecedents i rellevància històrica

Històricament, el principal impulsor de les contencions a l'adequació d'aquest marc regulador ha estat Max Schrems, les accions del qual van resultar en l'anul· lació dels anteriors acords "Safe Harbour" i "Privacy Shield". Tot i que el present cas és diferent pel que fa al fons, aquest precedent és rellevant, ja que mostra que la seguretat jurídica de les transferències internacionals de dades entre els EUA i la UE encara està en debat. Malgrat això, els esforços diplomàtics ambdues jurisdiccions han demostrat resiliència, mantenint un diàleg regulador en constant evolució.

3. Fonamentació de la decisió del TJUE

El Tribunal considera que el sistema dels EUA ofereix garanties "essencialment equivalents" a les exigides per la legislació de la UE. Aquest criteri, menys restrictiu que el que s'aplicava en els processos Schrems I i II, es basa en dos punts fonamentals: la independència efectiva del Tribunal de Control de la Protecció de Dades (DPC), sense necessitat de reproduir les estructures constitucionals europees, i la suficiència del control judicial ex post davant la vigilància en massa, eliminant l'exigència d'autorització prèvia per part d'una autoritat independent.

4. Incerteses i riscos identificats

Encara que la sentència suggereix una fase de reconsolidació institucional, persisteixen incerteses que impedeixen considerar-la definitiva. Aquestes inclouen la possibilitat d'un recurs davant del TJUE, l'abast limitat del recurs inicial i els canvis en els principals organismes dels EUA, com el desmantellament del Privacy and Civil Liberties Oversight Board (PCLOB) el 2024, que evidencia la seva fragilitat institucional.

5. Avisos de les autoritats europees

Vàries autoritats de protecció de dades a Europa (Noruega, Suècia, Dinamarca i Alemanya) han instat les empreses a desenvolupar "estratègies de sortida" del MPPD. Aquests avisos no són meres precaucions, sinó senyals tècniques que indiquen que els canvis als EUA poden comprometre la base de la decisió d'adequació.

6. Impacte pràctic i recomanacions

Encara que la sentència es pot interpretar com un llum verd per a les transferències entre la UE i els EUA, els escenaris futurs assenyalen la necessitat d'una aproximació més flexible. Encara que la decisió es pot interpretar com un llum verd per a les transferències entre la UE i els EUA, els escenaris futurs assenyalen riscos significatius: des d'una eventual suspensió administrativa a causa de canvis legislatius als EUA fins a una nova denúncia de major abast.

Actualment, més de 2800 empreses als EUA estan certificades sota el MPPD, la qual cosa els permet continuar basant-se en la decisió d'adequació (article 45 del RGPD) com a base jurídica per a les seves transferències transatlàntiques. Això redueix la incertesa immediata i evita trastorns massius dels fluxos de dades. No obstant això, l'estabilitat del marc no està garantida i ha de ser activament monitoritzada, ja que poden sorgir esdeveniments reguladors o judicials que la posin en qüestió.

Per tant, es recomana que les organitzacions mantinguin estratègies flexibles, preparin mecanismes alternatius, com les clàusules contractuals tipus (CCT), i revisin periòdicament els fluxos de dades.